Valikko

Resepti-palvelun selvityspyyntö 2020: Sosiaali- ja terveydenhuollossa ja apteekeissa oltava toimintatavat tietoturvaloukkausten havaitsemiseksi

17.6.2020 11.23
Uutinen

Ohjeet ja toimintatavat on tarpeen päivittää, jotta toimitaan oikein, kun epäillään tai havaitaan tietoturvapoikkeama. Vaikutustenarvioinnin avulla saadun riskiluettelon avulla voi konkreettisesti havaita kehitettävät kohteet. Organisaation johdon tehtävä on päättää riskienhallintaan liittyvistä riittävistä toimenpiteistä.

Resepti-palvelun asiakkaaksi liittyneille apteekeille, sosiaali- ja terveydenhuollon toimintayksiköille ja itsenäisille ammatinharjoittajille alkuvuodesta lähetettyyn selvityspyyntöön saadut vastaukset on analysoitu. Vastausten pohjalta on hahmotettu kokonaiskuvaa tämänhetkisestä tietosuojatyön tilanteesta ja mahdollisista ongelmakohdista sote-organisaatioissa.

Kela, tietosuojavaltuutetun toimisto ja THL ovat laatineet selvityspyynnön yhteistyössä. Tietosuojavaltuutetun toimisto on osallistunut sekä selvityspyynnön kysymysten ja sisällön kehittämiseen että tulosten analysointiin.

Tietosuojavastaava hoitaa laajaa kokonaisuutta

Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasääntelyn noudattamisessa. Tietosuojavastaava seuraa tietosuojasääntelyn noudattamista koko organisaatiossa ja tuo esiin havaitsemiaan puutteita, antaa tietoja ja neuvoja sekä organisaation johdolle että henkilökunnalle.

Tunnista ja havaitse henkilötietoon kohdistuva tietoturvaloukkaus

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Sosiaali- ja terveydenhuollossa ja apteekeissa on varauduttava henkilötietojen tietoturvaloukkausten varalle riittävin tietoturvallisuuteen liittyvin toimenpitein. Toimintatavat on tarpeen olla tietoturvaloukkausten tunnistamiseksi ja havaitsemiseksi. Kirjalliset ohjeet ja koulutusmateriaalit on päivitettävä, jos ne eivät sisällä ajantasaisia ohjeita sellaisten tietoturvaloukkausten varalle, jotka kohdistuvat Reseptikeskukseen tallennettuihin henkilötietoihin.

Jos henkilötietojen tietoturvaloukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille, on rekisterinpitäjän ilmoitettava tapahtumasta tietosuojavaltuutetun toimistolle. Jos riski on korkea, on tapahtumasta ilmoitettava myös kyseessä oleville henkilöille.

Huomio vaikutustenarviointeihin

Johdon tehtävä on varmistua riskienhallinnasta ja henkilötietojen käsittelyn lainmukaisuudesta. Tietosuojaa koskevan vaikutustenarvioinnin avulla voidaan konkretisoida kohteet, jotka edellyttävät toimenpiteitä. Tietosuojavastaavan tehtävä on pyydettäessä antaa ohjeita vaikutustenarvioinnista. Organisaation johto vastaa henkilötietojen käsittelyä koskevien ratkaisujen tekemisestä, kuten mahdollisten jäännösriskien vuoksi tehtävistä toimenpiteistä.

Kehitystarpeet Reseptikeskuksen tietojen käsittelyn seurannan ja valvonnan osalta on tärkeää nostaa riskilähtöisesti esille, jos on havaittu tarpeita kehittää valvontavälineitä tai toimintatapoja.

Seuranta ja valvonta toteutetaan pääsääntöisesti käsin. Seuranta ja valvonta olisi tarpeellista siirtää automaattisesti toimivan valvontajärjestelmän piiriin, kun lokeja muodostuu suuria määriä. Niin seurannan ja valvonnan välineitä kuin automatiikkaakin tulisi kehittää voimakkaasti, jotta väärinkäytöstapaukset tunnistettaisiin tehokkaammin.

Taustaa

Selvityspyyntö toimitettiin noin 2 200:lle Resepti-palvelun tietosuojavastaavalle ja itsenäiselle ammatinharjoittajalle. Vastausaktiivisuuden taso oli suhteellisen korkea (59 %).  Osana yhteistyötä tietosuojavaltuutetun toimisto voi hyödyntää tuloksia laatiessaan tietosuojasääntelyä koskevaa ohjausmateriaalia. Samoin THL voi hyödyntää tuloksia terveydenhuollon ammattihenkilöiden toimintamallikoulutuksessa ja ohjauksessa. Selvityspyyntö on toteutettu sähköisen lääkemääräyslain (61/2007) 24 §:n nojalla.

Lisätiedot:

Asiakkuus ja tuki: Kanta Ekstranet

Kanta-palveluja käyttävät asiakkaat -tietosuojaseloste

Tietosuojan ja tietoturvallisuuden omavalvonta: suunnitelma ja toteuttaminen -koulutusmateriaali (THL)

Omavalvontasuunnitelman mallipohja pienille sosiaali- ja terveydenhuollon palveluntuottajille (THL)

Toimintaohje Kanta-palveluihin liittyvässä henkilötietojen tietoturvaloukkauksessa ja sen epäilyssä

Lisätietoa tietoturvaloukkauksen riskin arvioimisesta on tietosuojavaltuutetun toimiston verkkosivuilla

Lisätietoja ammattilaisille:

[email protected]